De GDPR wet, is uw onderneming er klaar voor?

Naast de al actieve Wet bescherming persoonsgegevens ook wel WBP is sinds januari 2016 de meldplicht datalekken van kracht. In mei 2018 zal er nog een verandering plaatsvinden, in navolging hiervan zullen de regels rondom persoonsgegevens nóg strenger worden. De General Data Protection Regulation (GDPR) wordt dan ingevoerd. De invoering van deze nieuwe wet heeft nogal wat consequenties voor bedrijven, onafhankelijk van in welke branche u werkzaam bent. Zorg dat u en uw onderneming klaar zijn voor de komst van deze nieuwe wet!

Wanneer er steeds vaker wordt gevraagd naar informatie van bezoekers van websites. Dat betekend dat bedrijven steeds meer persoonlijke data van mensen beheren. Om dit alles in goede banen te leiden is nu de GDPR in het leven geroepen. Hieronder lopen wij in 10 simpele stappen met u door, wat deze wet precies inhoudt en hoe hiermee om te gaan binnen uw onderneming!

Stap 1.

Stap 1 betreft de bewustwording. Weet wat de wet voor u en uw onderneming betekent. Schat in wat de impact van de invoering van de GDPR wet voor gevolg heeft voor uw onderneming en eventueel voor de rest van uw branche.

Stap 2.

Rechten van betrokkenen. Denk hierbij aan bestaande rechten als; recht op inzage en het recht van correctie en verwijdering. Wanneer er volgens de betreffende mensen niet rechtmatig gehandeld wordt met de persoonsgegevens dan kunnen zij hier een aanklacht voor indienen!

Stap 3.

Het overzicht van uw verwerkingen. Dit houdt in dat u uw gegevensverwerking duidelijk in kaart moet brengen. Documenteer welke persoonsgegevens uw werft, verwerkt en met welk doel u dit doet! Dit overzicht is niet enkel voor uzelf maar kunt u ook nodig hebben wanneer betrokkene hun privacyrechten uitoefenen!

Dit houdt overigens ook in dat wanneer een betrokkene hun gegevens bij u aanpassen u wettelijk verplicht bent dit bij alle derden waarmee u die gegevens gedeelt heeft aan te passen en of door te geven!

Stap 4.

DPIA of ook wel Data Protection Impact Assessment. Onder de nieuwe wetgeving kunt u verplicht zijn om de zogeheten DPIA uit te voeren om op deze manier inzicht te creëren over de manier waarop u met de persoonsgegevens omgaat.

Mocht er in de toekomst nou uit een DPIA naar voren komt dat de manier van uw manier van gegevensverwerking niet volgens de nieuwe privacywetgeving is, en lukt het u niet om maatregelen te vinden die dit risico beperken? Dan vindt er voorafgaande raadpleging plaats met de AVG om zo tot de juiste verwerking te komen binnen uw organisatie.

Stap 5.

Maak uw organisatie bekend met de AVG verplichte uitgangspunten betreft “Privacy by design” en “Privacy by default” en probeer na te gaan hoe u deze binnen uw organisatie kunt invoeren!

Privacy by design;

Betekend dat al bij het ontwerpen en bedenken van diensten en producten rekening wordt gehouden met het feit dat de persoonsgegevens goed beschermd worden

Privacy by default;

Dit houdt in dat u technische en organisatorische maatregelen moet nemen om er op deze manier voor te zorgen dat u, als standaard, alleen noodzakelijke /  specifieke persoonsgegevens verwerkt!

Voorbeelden hiervan zijn:

  • In de app die u aanbiedt niet de locatie van de gebruiker “tracken” wanneer dit niet nodig is.
  • Op uw online contactformulier niet vooraf de “vinkjes aanzetten”
  • Wanneer iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens van deze persoon vragen dan dat nodig is.

Stap 6.

Onder de AVG kunnen organisaties verplicht zijn een Functionaris voor de gegevensverwerking aan te stellen. Mocht dit voor uw organisatie gelden wacht dan niet te lang met het werven van een FG!

Stap 7.

De regels rond de meldplicht datalekken blijven grotendeels gelijk aan de huidige. U bent verplicht alle datalekken te documenteren. Door middel van deze documentatie kan de AP een conclusie trekken of u aan de meldplicht heeft voldaan!

Stap 8.

Heeft u uw gegevensverwerking uitbesteedt bij een externe verwerker? Controleer dan goed of de overeengekomen maatregelen goed verwerkt staan in het samenwerkingscontract met uw verwerker. Mocht dit niet zo zijn breng dan tijdig de noodzakelijke wijzigingen aan!

Stap 9.

Heeft u met uw onderneming vestigingen in meerdere lidstaten van de EU? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder het toezicht van de AVG slechts 1 leidende toezichthouder aan te stellen!

Stap 10.

Toestemming. Voor sommige gegevensverwerkingen heeft u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan deze toestemming. Nieuw hierin is dat u een geldige toestemming nodig heeft van de betrokkene om hun persoonsgegevens te mogen verwerken. Bekijk hoe u op dit moment aan deze toestemming komt, vergelijk deze met de nieuwe standaard die vanaf 25 mei a.s. geldt en pas deze zonodig aan!

Wees goed op de hoogte van de verplichtingen die een wet als de GDPR met zich mee kan brengen, er wordt vaak erg weinig aandacht aan besteed. Dit terwijl er met persoonsgegevens toch waardevolle data in handen is.

 

U bent altijd welkom op kantoor in Wageningen om hier over de mogelijkheden te komen sparren!

[do_widget_area before-footer]